在Windows内核系统调用跟踪中,这些神秘地址是什么?

时间:2012-05-09 20:00:33

标签: windows windows-server-2008 windows-server-2008-r2 etw windows-kernel

我正在使用Windows事件跟踪(ETW)在Windows Server 2008 R2中对系统调用进行内核跟踪。

我正在跑步:

logman start "NT Kernel Logger" -p "Windows Kernel Trace" (process,thread,cswitch,syscall) -o events.etl -ets

在生成的内核跟踪中,我正在查看SysCallAddress属性,我看到了很多我期望的内容:例如0xFFFFF80001999EE0,它是nt!NtWriteFile。

问题是我在0xFFFFF960范围内看到很多地址,例如0xFFFFF9600004421C,我不知道这些地址是什么。内核调试器中的ln命令不返回任何这些地址的信息。有没有人知道内核跟踪器视为系统调用的这些地址是什么?

1 个答案:

答案 0 :(得分:3)

这些是进入win32k.sys的系统调用。想想GetMessage,EndDraw等等。

相关问题
最新问题